重要业务API接口监控思路

重要API接口： 重点发现撞库，短信轰炸及其他逻辑漏洞

第一步：借助burpsuite抓包工具主动发现，检查基于返回包特征是否可以撞库

涉及资产：APP，网站，小程序，微信公众号，后台

涉及API接口：登录，注册，忘记密码，短信

第二步：借助ELK日志平台主动发现，可以大量发掘深层接口，例如未知推广页，筛选出1个月访问量超过100次的重要接口

登录接口path关键词：login，Login，signin，Signin，signIn，SignIn

注册接口path关键词：regist，Regist，signup，Signup

忘记密码接口path关键词：forget，Forget，password，Password，PassWord，Pwd，PWD，reset，Reset，retrieve，Retrieve

短信接口path关键词：send，Send，code，Code，SmS，SMS，Sms，sms，

后台接口关键词：同时满足以下两项的

1-path路径含有login，Login，signin，Signin，signIn，SignIn，

2-请求包含有"admin" OR 返回包含有关键词"后台"，"管理员"，"管理系统"，"管理平台"

例如：时间段，阈值根据实际情况设定，基于频率和总量两个维度监控重要接口接口，即使低频分布式攻击也可以被发现

单一IP，2分钟访问重要接口20次以上，邮件告警

单一IP，24h访问重要接口200次以上，邮件告警

单一接口，24h访问总量20000次以上，邮件告警